Décision 2015-050 du 24 juin 2015

Commission Nationale de l'Informatique et des Libertés
Décision n°2015-050 du 24 juin 2015
Décision n° 2015-050 du 24 juin 2015 mettant en demeure la société X
Etat: VIGUEUR

La Présidente de la Commission nationale de l’informatique et des libertés ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2014-152C du 25 juin 2014 de la Présidente de la Commission nationale de l’informatique et des libertés de procéder à une mission de vérification de tout traitement de données à caractère personnel mis en œuvre dans le cadre de la gestion et de l’exploitation du site internet […] et des applications correspondantes ;

Vu les procès-verbaux de contrôle sur place n° 2014-152/1 et n° 2014-152/2, respectivement des 16 juillet et 28 octobre 2014.

I- Constate les faits suivants

La société X (ci-après la société ), sise […], a pour activité principale la mise en ligne et la gestion du site de rencontre […] (ci-après le site internet ). Elle emploie 47 personnes et a dégagé un chiffre d’affaires de (…)

En application de la décision n° 2014-152C du 25 juin 2014 de la Présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ), une délégation de la CNIL a procédé à des missions de contrôle sur place les 16 juillet et 28 octobre 2014 auprès de la société X. La délégation s’est attachée à examiner la conformité des traitements de données à caractère personnel mis en œuvre par la société, ou pour son compte, aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée, et en particulier ceux relatifs à la gestion et à l’exploitation du site internet […] et des applications correspondantes.

La société a effectué auprès de la CNIL une déclaration n° 1786615 relative au traitement dont la finalité est intitulée Fichier de gestion de la clientèle .

La délégation a été informée que le site web […] était géré par la société Y jusqu’à ce que cette dernière fusionne avec la holding X en juillet 2014. Principalement destiné à un public hétérosexuel, ce site internet compte environ (…). Alors qu’il est intégralement gratuit pour les femmes, certaines fonctionnalités sont payantes pour les hommes.

La délégation a été informée que la société peut procéder à la suspension des profils des utilisateurs qui ne respectent pas les conditions générales du site internet ou qui présentent un risque avéré de fraude. Elle a également constaté que la base de données de la société contient des commentaires, tels que boulet et pute .

En outre, la délégation a constaté que la société ne recueille pas le consentement des utilisateurs lors de la collecte des données relatives à leur vie sexuelle et à leur origine ethnique ou raciale.

Par ailleurs, la délégation a constaté qu’aucune information relative aux traitements de données personnelles mis en place par la société n’est présente sur le formulaire d’inscription ou sur les pages permettant à l’utilisateur de compléter son profil.

De même, la délégation a constaté que les comptes des utilisateurs ne sont supprimés que sur demande et que la société n’a pas défini de durée de conservation pour les données des personnes ayant un compte inactif ou suspendu. Les données relatives aux coordonnées bancaires sont quand à elles conservées pendant toute la durée de vie du compte.

La délégation a constaté le dépôt de cookies soumis au consentement dès l’arrivée sur la page d’accueil du site internet, ainsi que la présence d’un bandeau d’information en haut de cette page. Elle a également constaté que les données enregistrées dans certains cookies sont conservées pendant des durées pouvant aller jusqu’à 2 ans.

En outre, la délégation a constaté que la société transfère des données hors de l’Union européenne sans autorisation de la CNIL.

(…)

Enfin, la délégation a constaté que les contrats conclus entre la société et ses prestataires de service ne précisent pas toujours les obligations de ces derniers en matière de sécurité et de confidentialité des données.

II- Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée

Un manquement à l’obligation d’accomplir les formalités préalables à la mise en œuvre du traitement

La délégation a été informée que la société met en œuvre un traitement de lutte contre la fraude pour les profils créés par des femmes (outil KOUNT ).

(…)

Plus généralement, la délégation a été informée que la société peut procéder à la suspension des profils des utilisateurs qui ne respectent pas les conditions générales d’utilisation du site internet. Dans cette hypothèse, l’adresse IP du membre peut être exclue et ce dernier ne peut alors ni se connecter à son compte, ni créer un nouveau compte à partir de la même adresse électronique ou du même pseudonyme. Cette modération peut avoir lieu lors de l’inscription du membre, de la publication d’un nouveau contenu ou sur signalement d’un autre utilisateur.

Il apparaît que ces traitements sont susceptibles d’exclure des personnes du bénéfice d’un contrat ou d’une prestation. Ils relèvent donc du régime de l’autorisation en matière de formalités préalables auprès de la CNIL.

Or, la société n’a procédé à aucune demande d’autorisation concernant de tels traitements.

Ces faits constituent un manquement aux dispositions du 4° de l’article 25-I de la loi du 6 janvier 1978 modifiée qui dispose que, sont mis en œuvre après autorisation de la CNIL, Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire .

Il est rappelé qu’en application des articles 226-16 alinéa 1er et 226-24 du code pénal combinés, le fait pour une personne morale, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation de recueillir le consentement de la personne concernée pour le traitement de données sensibles relatives aux origines ethniques ou raciales et à la vie sexuelle des personnes

La délégation a constaté que, lors de leur inscription sur le site internet, les membres peuvent, via une case à cocher, préciser leurs origines : européennes , afro , maghrébines , asiatiques , métisses , eurasiennes , latines ou antillaises .

La délégation a également constaté que les profils des membres femmes contiennent un onglet supplémentaire Mon sexo , qui leur permet, via des cases à cocher, de remplir les rubriques suivantes : Ce qui m’émoustille (par exemple : être regardée , avoir les yeux bandés , griffer, mordiller ), Au lit, j’aime… (par exemple : plaisirs solitaires , à trois , jeux SM ) et Mes accessoires (par exemple : sextoys , menottes (avec moumoute) , cravache ).

L’article 8 de la loi du 6 janvier 1978 modifiée prévoit notamment qu’il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives aux origines ethniques et à la vie sexuelle des personnes, sauf dans les cas prévus au II de cet article, notamment en cas de consentement exprès des personnes concernées.

Or, le consentement ne peut être exprès que s’il est donné en toute connaissance de cause c’est-à-dire après la délivrance d’une information adéquate sur l'usage qui sera fait des données personnelles.

En l’espèce, aucun moyen technique à l’endroit de la collecte n’est mis à la disposition de la personne auprès de laquelle les données sensibles sont collectées et traitées afin de s’assurer qu’elle y consent de manière expresse sur la base d’une information spécifique.

La Commission considère que le fait, pour la personne concernée, de renseigner ses données sensibles, ne saurait être considéré comme un consentement exprès. L'utilisateur doit pouvoir marquer son assentiment en cochant une case dédiée à l'approbation de l'usage de ses données personnelles sensibles auquel il consent, ce qui n’est pas le cas en l’espèce.

Ces faits constituent un manquement à l’article 8 de la loi du 6 janvier 1978 modifiée susmentionné.

Il est rappelé enfin qu’en application des articles 226-19 et 226-24 du code pénal combinés, le fait pour une personne morale, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celles-ci, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données

La délégation a été informée que la rubrique moderated_members de la base de données de la société comprend la liste des membres dont le compte a été suspendu par le service en charge de la modération. Elle a également été informée que ce service peut être amené à y préciser le motif de la suspension du compte. A cet égard, la délégation a constaté que le service peut choisir l’un des trois motifs prédéfinis ( fake , mineur et boulet ) ou ajouter un commentaire de son choix.

En l’espèce, la délégation a constaté que la table contient 2588 occurrences du mot prédéfini boulet et 131 occurrences du mot pute choisi par le service modération.

Or, il n’apparaît pas adéquat que la base de données de la société contiennent de tels qualificatifs, la société pouvant utiliser une terminologie ne présentant pas un caractère injurieux ou insultant pour identifier le motif de la suspension d’un compte.

Ces faits constituent un manquement à l’article 6-3° de la loi du 6 janvier 1978 modifiée, qui dispose que les données collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs .

Un manquement à l’obligation d’informer les personnes

La délégation a constaté que ni le formulaire d’inscription au site […] ni les pages permettant à l’utilisateur de compléter son profil ne contiennent d’information relative au traitement de données à caractère personnel.

Ces faits constituent un manquement à l’article 32-I de la loi n° 78-17 du 6 janvier 1978 modifiée qui dispose que :

I.-La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :

1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

Il est également rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d’une peine d’amende pouvant atteindre 7.500 €.

Un manquement à l’obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement

En premier lieu, dans sa déclaration n° 1786615, la société a indiqué conserver les données de ses clients pendant la durée de la relation contractuelle . Le registre du CIL (désigné en août 2014) fait également mention de cette durée de conservation.

La délégation a été informée que le compte d’un utilisateur ne peut être supprimé que sur demande de ce dernier ou des forces de police dans le cadre d’une réquisition judiciaire et que, avant d’être supprimées de façon effective, les données correspondantes sont conservées dans la rubrique cemetery de la base […] pendant une durée de 18 mois. En effet, la délégation a constaté que cette rubrique contient plus de (…) comptes, la plus ancienne demande de désinscription, et donc de suppression, remontant au 27 avril 2013.

En outre, la délégation a été informée que les comptes suspendus (notamment par le service en charge de la modération) ou inactifs (désactivés volontairement par l’internaute ou automatiquement en cas d’absence de connexion pendant 12 mois) sont conservés sans limitation de durée.

Or, une telle conservation apparaît excessive au regard de la finalité du traitement.

En deuxième lieu, s’agissant des coordonnées bancaires des membres, la délégation a été informée que ces données sont conservées pendant toute la durée de vie du compte et que les membres ne peuvent pas en demander la suppression, sauf à clôturer leur compte. Or, une telle conservation est excessive au regard de la finalité de paiement de l’abonnement, lequel s’effectue en une ou deux fois.

Il est rappelé à cet égard que la CNIL a adopté la délibération n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation quant aux données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Celle-ci précise que la durée de conservation des données de la carte doit correspondre au délai nécessaire à la réalisation de la transaction, c’est-à-dire au paiement effectif qui peut être augmenté, le cas échéant, du délai de rétractation prévu par l’article L. 121-20-12 du code de la consommation, à savoir 14 jours.

Cette recommandation, qui n’a pas de valeur impérative, vise à interpréter les dispositions législatives précitées et à éclairer sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.

La CNIL précise également que, le cas échéant, à des fins probatoires, les données relatives à la carte de paiement, à l’exception du cryptogramme visuel, pourront être versées en archives intermédiaires et utilisées en cas de contestation de la transaction pour la durée prévue par l’article L. 133-24 du code monétaire et financier, à savoir 13 mois suivant la date de débit ou 15 mois suivant la date de débit en cas d’utilisation de cartes de paiement à débit différé.

En troisième lieu, la délégation a constaté que les données enregistrées dans certains cookies déposés par le site internet sont accessibles pendant une durée excessive par rapport aux finalités poursuivies. En effet, elle a constaté que certains cookies à finalité publicitaire ont une durée de vie de 2 ans.

A cet égard, la CNIL a adopté la délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs. Cette recommandation, qui n’a pas de valeur impérative, vise à interpréter les dispositions législatives précitées et à éclairer sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.

Elle précise que les Cookies doivent (…) avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site .

L’ensemble de ces faits constitue un manquement aux obligations découlant du 5° de l’article 6 de la loi du 6 janvier 1978 modifiée qui prévoit que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Il est en outre rappelé qu’en application des articles 226-20 et 226-24 du code pénal combinés, le fait pour une personne morale, de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation d’informer et d’obtenir l’accord préalable des personnes concernées avant d’inscrire des informations (cookies) sur leur équipement terminal de communications électroniques ou d’accéder à celles-ci (lecture des cookies)

L’article 32-II de la loi du 6 janvier 1978 modifiée dispose que Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement;

des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur .

Les cookies nécessitant une information et un consentement préalables de l’internaute sont notamment les cookies liés aux opérations relatives à la publicité ciblée et les cookies traceurs de réseaux sociaux générés par les boutons de partage de réseaux sociaux .

Afin de proposer aux professionnels du secteur des lignes directrices en la matière, la CNIL a adopté la délibération précitée n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs.

Cette recommandation rappelle que la validité du consentement est liée à la qualité de l’information reçue . La Commission recommande donc que ce consentement soit recueilli en deux étapes :

première étape : l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des Cookies utilisés ; de la possibilité de s’opposer à ces Cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal ;

seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des Cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience .

En outre, la recommandation indique que l’information doit être visible, mise en évidence et complète .

En premier lieu, lorsque la délégation s’est connectée au site internet, elle a constaté que 39 cookies ont été déposés sur son équipement terminal. Par courrier reçu par la CNIL le 19 novembre 2014, la société a indiqué que 32 de ces cookies sont liés à des opérations de publicité ou aux réseaux sociaux.

La délégation a également constaté, sur le site internet, la présence d’un bandeau indiquant que Les cookies assurent le bon fonctionnement de nos services, en poursuivant la navigation, vous acceptez les cookies de […] et ses partenaires , ainsi qu’un lien hypertexte En savoir plus .

Ajoutée après la première journée de contrôle de la délégation, cette mention d’information n’est pas satisfaisante dans la mesure où la personne n’est pas informée :

des finalités des cookies déposés ;

de la possibilité de changer les paramètres des cookies en cliquant sur un lien présent dans le bandeau.

En revanche, la page intitulée Charte d’utilisation des cookies , qui est accessible à partir du lien hypertexte En savoir plus présent sur le bandeau, précise aux internautes comment procéder au paramétrage de leur navigateur en fonction du navigateur utilisé.

Ce paramétrage est, en l’espèce, un moyen valable d’opposition dans la mesure où le site ne dépose pas de cookies provenant du domaine du site (first party) nécessitant le recueil du consentement (qui ne seraient pas bloqués si l’internaute décidait de ne bloquer à partir de son navigateur que les cookies provenant du domaine d’un tiers (third party).

En second lieu, la délégation a constaté que le dépôt de cookies dans l’équipement terminal de communications électroniques de l’internaute s’opère dès la connexion au site internet, avant toute action de la part de l’internaute tendant à poursuivre sa navigation sur le site.

Au regard de ce qui précède, il apparaît que la société n’a pas informé les personnes concernées et n’a pas recueilli leur consentement avant de procéder au dépôt des cookies.

L’ensemble de ces faits constitue un manquement au II de l’article 32 précité de la loi du 6 janvier 1978 modifiée, qui soumet notamment à information et à accord préalables de l’internaute le dépôt de tels cookies.

En outre, il est rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer les personnes concernées et obtenir leur accord avant d’accéder à ou d’inscrire des informations dans leur équipement terminal de communications électroniques est puni d’une peine d’amende pouvant atteindre 7.500 €.

Un manquement à l’obligation d’accomplir les formalités préalables au transfert de données personnelles hors de l’Union européenne

La délégation a été informée que le support client de premier niveau (notamment la modération du site et la gestion des réclamations) est assuré par la société (…) située au Maroc.

A cet égard, la Commission a autorisé la société à transférer vers le Maroc les données relatives à l’état civil et à la localisation des personnes concernées, et ce aux fins d’assister la clientèle (décision (…)). Mais le registre du CIL de la société fait apparaître que sont également transférées les données relatives à la vie personnelle, à la vie professionnelle et les données sensibles des utilisateurs du site internet.

Ces faits constituent un manquement à l’article 69 de la loi n° 78-17 du 6 janvier 1978 disposant que Il peut également être fait exception à l’interdiction prévue à l’article 68, par décision de la Commission nationale de l’informatique et des libertés (…) lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet .

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données

(…)

Ces faits constituent un manquement à l’article 34 de la loi n° 78-17 du 6 janvier 1978 disposant que Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Il est en outre rappelé qu’en application des articles 226-17 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant

La délégation a constaté que les contrats conclus entre la société et ses prestataires (…) et (…), qui sont en charge de l’hébergement des données de la société, ne prévoient pas de clauses relatives aux obligations de ces prestataires en matière de sécurité et de confidentialité des données personnelles.

Ces faits constituent un manquement aux dispositions de l’article 35 de la loi n° 78-17 du 6 janvier 1978 qui dispose notamment que Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement .

En conséquence, la société X, sise […], est mise en demeure, sous un délai de trois (3) mois, à compter de la notification de la présente décision, et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier :

procéder à une demande d’autorisation pour l’ensemble des traitements de données susceptibles d’exclure des personnes ;

procéder à une demande de modification de la décision rendue par la Commission pour l’encadrement du transfert de données vers le Maroc ; ou, à défaut, respecter la décision rendue par la Commission ;

recueillir le consentement exprès des personnes, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles - en l’espèce des données relatives aux origines ethniques ou raciales et à la vie sexuelle des personnes - par tout procédé, tel qu’une case à cocher, apposé à l’endroit de la collecte ;

prendre les mesures nécessaires pour éviter que des commentaires excessifs ne soient enregistrés dans les bases de données de la société, et en particulier attirer l’attention des salariés sur la nécessité de n’enregistrer que des données adéquates et pertinentes ;

procéder à l’information des utilisateurs du site internet, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, quant aux traitements de données à caractère personnel mis en place, et ce directement sur le formulaire d’inscription et sur les pages permettant de compléter leur profil ;

définir et mettre en œuvre une politique de durée de conservation des données relatives aux utilisateurs qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, et notamment :

respecter la durée de conservation des données à caractère personnel telle qu’indiquée dans la déclaration préalable du traitement de gestion des membres du site internet et dans le registre du CIL de la société ; à défaut procéder à la modification du registre et justifier de la durée de conservation choisie ;

procéder à la purge des données des comptes ayant fait l’objet d’une demande de suppression, des comptes suspendus et des comptes inactifs depuis un certain délai, 2 ans par exemple (comptes désactivés volontairement par les utilisateurs ou automatiquement par la société) ; ou procéder à leur archivage intermédiaire, et ce pendant la durée nécessaire aux finalités pour lesquelles elles sont collectées et après avoir opéré un tri des données pertinentes à archiver ;

en matière de données relatives aux coordonnées bancaires, procéder à la purge des données au-delà de la dernière échéance de paiement de l’abonnement, le cas échéant sous réserves des dispositions de l’article L. 121-20-12 du code de la consommation et de l’article L. 133-24 du code monétaire et financier uniquement pour le versement en archives intermédiaires (cryptogramme visuel excepté) ;

en matière de cookies, ne pas déposer de cookies dont la durée de validité est supérieure à treize mois après leur dépôt sur l’équipement terminal de la personne concernée ;

informer et obtenir l’accord préalable des personnes concernées à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci (lecture des cookies). A cet égard, il appartient à la société, sauf à mettre en place un dispositif présentant les mêmes garanties légales :d’indiquer aux personnes concernées, au préalable et de manière claire et complète, sur le bandeau présent sur le site internet :

les finalités des cookies déposés ;

que la personne concernée à la possibilité de changer les paramètres des cookies en cliquant sur un lien présent dans le bandeau ;

de conditionner cette inscription et cet accès à une action positive préalable des personnes concernées ;

prendre toute mesure de sécurité, pour l’ensemble des traitements de données à caractère personnel qu’elle met en œuvre, permettant de préserver la sécurité de ces données et d’empêcher que des tiers non autorisés y aient accès (…)

prévoir au sein de tous les contrats liant la société avec ses prestataires de services, en particulier les sociétés (…) et (…), des clauses permettant de définir les obligations incombant aux prestataires en matière de protection de la sécurité et de la confidentialité des données des clients de la société, et précisant que les prestataires ne peuvent agir que sur instruction du responsable du traitement, conformément aux dispositions de l’article 35 de la loi du 6 janvier 1978 modifiée ;

justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, s’il est constaté que la société X ne s’est pas conformée à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de la Commission de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.

La Présidente

Isabelle FALQUE-PIERROTIN




Nature de la délibération: AVERTISSEMENT
Date de la publication sur legifrance: 1 août 2015